ﾚ(ﾟ∀ﾟ)ﾍ=3=3

54번 문제 - Password is 문자 형식에서 문자만 바뀌어서 출력이 된다. 바뀌는 부분의 문자들을 모으면 FLAG값을 얻을 수 있을 것 같다. 일단 코드의 answer 함수부분을 먼저 보았다. 28번째 줄에서 GET방식으로 매개변수 m에 i의 값을 넣는 다는 것을 알 수 있고 30번째 줄에서 서버에 요청하여 응답으로 받은 데이터를 문자열로 반환시키는 responseText를 사용하여 받은 데이터를 aview.innerHTML에 넣은 것을 알 수 있다. 그리고 나서 i의 값을 증가시킨다. 32번째 줄에서 만약 x.responseText인 문자가 있다면 20밀리 초 후에 증가시킨 i를 answer에서 다시 실행한다는 것을 알 수 있다. 즉 변하는 문제는 0.02초마다 한 문자씩 변하는 것이다. 33번..

46번 문제 위와 같은 코드가 나왔다. 코드를 통해 GET방식으로 lv를 받는 다는 것, 공백 / * % select 0x limit cash를 필터링한다는 것을 알 수 있다. 또한 id가 admin이면 해결이 되는 것을 알 수 있었다. 앞의 조건을 무효화 시키고 숫자를 받아 아스키 코드에 맞게 문자를 리턴해주는 char()함수를 통해 admin을 우회하였다. 46번 URL 뒤에 해당 조건에 맞게 추가해주었다.

39번 문제 소스코드를 확인해보았다. id='{$_POST['id']}에서 닫는 ‘가 없음을 알 수 있다. substr($_POST[‘id’],0,15)를 통해 15개의 문자열만 추출한다는 것을 알 수 있다. $_POST['id'] = str_replace("'","''",$_POST['id']);를 통해 싱클쿼터를 입력해도 더블쿼터로 변함을 알 수 있다. 하지만 15개만 추출하므로 더블쿼터를 15번째자리에 있으면 하나가 substr에 의해 잘려 1개만 입력됨을 알 수 있다. admin을 입력한 후 15번째에 싱글쿼터를 입력해주었다.

35번 문제 view-source에 들어갔더니 나온 소스코드이다. get방식으로 phone과 id를 전달받음을 알 수 있다. 그리고 if(preg_match("/\*|\/|=|select|-|#|;/i",$_GET['phone'])을 통해 phone에서 필터링되는 문자들을 알 수 있고, if(strlen($_GET['id']) > 5)와 if(preg_match("/admin/i",$_GET['id']))을 통해 id의 크기가 5보다 작아야 한다는 것, admin이 포함되면 안된다는 것을 알 수 있다. insert into chall35(id,ip,phone) values('{$_GET['id']}','{$_SERVER['REMOTE_ADDR']}',{$_GET['phone']})을 통해 sql문장으로 ..

32번에 들어갔을 때 나오는 화면이다. 아이디를 하나 누르고 다른 아이디를 눌러보았다. 위와 같은 alert가 뜨면서 선택을 못하는 것을 알 수 있다. 쿠키 값을 확인해 주었다. ok라는 쿠키 값을 바꿔주면 투표를 할 수 있을 것 같은데, 내 아이디로 100이 되어야 하므로 100번 바꿔주어야 한다. 그래서 ok라는 값 자체를 차단시켜보았다. 위와 같이 값으로 차단을 통해 ok를 차단하였다. 차단을 통해 쿠키가 생성되지 않아 클릭을 계속 할 수 있게 되었다. 내 아이디에 해당되는 부분을 계속해서 100까지 투표하였다.